Parimad pliiatsitesti tööriistad: nuusutajad ja pakkidega töötamine. Võrgupakettanalüsaatorid Programm kohaliku võrgu liikluse analüüsimiseks

Vajadus analüüsida võrguliiklust võib tekkida mitmel põhjusel. Arvutiturbe jälgimine, kohaliku võrgu silumine, väljamineva liikluse jälgimine jagatud Interneti-ühenduse toimimise optimeerimiseks – kõik need ülesanded on sageli süsteemiadministraatorite ja tavakasutajate päevakorras. Nende lahendamiseks on palju utiliite, mida nimetatakse nuusutajateks, nii spetsialiseerunud, et lahendada kitsas ülesandeid, kui ka multifunktsionaalseid "kombaineid", mis pakuvad kasutajale laia valikut tööriistu. See artikkel tutvustab üht viimase grupi esindajat, nimelt ettevõtte toodetud utiliiti CommView. Programm võimaldab teil selgelt näha täielikku pilti arvutit või kohaliku võrgu segmenti läbivast liiklusest; kohandatav häiresüsteem võimaldab hoiatada kahtlaste pakettide olemasolust liikluses, ebanormaalsete aadressidega sõlmede ilmumisest võrku või võrgu koormuse suurenemisest.

CommView võimaldab säilitada kõigi IP-ühenduste statistikat, dekodeerida IP-pakette madalale tasemele ja neid analüüsida. Sisseehitatud mitmel parameetril põhinev filtrisüsteem võimaldab seadistada jälgimise eranditult vajalike pakettide jaoks, mis muudab nende analüüsi efektiivsemaks. Programm suudab ära tunda pakette enam kui seitsme tosina kõige tavalisema protokolli (sh DDNS, DHCP, DIAG, DNS, FTP, HTTP, HTTPS, ICMP, ICQ, IMAP, IPsec, IPv4, IPv6, IPX, LDAP, MS SQL, NCP, NetBIOS, NFS, NLSP, POP3, PPP, PPPoE, SMB, SMTP, SOCKS, SPX, SSH, TCP, TELNET, UDP, WAP jne) ning salvestage need ka failidesse hilisemaks analüüsiks. Teatud juhtudel võivad kasulikud olla ka mitmed muud tööriistad, näiteks võrguadapteri tootja tuvastamine MAC-aadressi järgi, HTML-i rekonstrueerimine ja kaugpakettide hõivamine valikulise CommView Remote Agent utiliidi abil.

Programmiga töötamine

Kõigepealt peate valima võrguliidese, millel liiklust jälgitakse.

CommView toetab peaaegu igat tüüpi Etherneti adaptereid – 10, 100 ja 1000 Mbit/s, aga ka analoogmodemid, xDSL, Wi-Fi jne. Etherneti adapteri liiklust analüüsides suudab CommView mitte ainult sissetulevat ja väljaminevat, vaid ka transiiti kinni pidada. paketid, mis on adresseeritud mis tahes arvutile kohaliku võrgu segmendis. Väärib märkimist, et kui ülesandeks on jälgida kogu liiklust kohaliku võrgu segmendis, siis on nõutav, et selles olevad arvutid oleksid ühendatud jaoturi, mitte lüliti kaudu. Mõnel kaasaegsel kommutaatoril on pordi peegeldamise funktsioon, mis võimaldab neid konfigureerida ka võrgu jälgimiseks CommView abil. Selle kohta saate rohkem lugeda. Pärast soovitud ühenduse valimist võite alustada pakettide hõivamist. Pildistamise alustamise ja lõpetamise nupud asuvad liidese valikurea lähedal. Kaugjuurdepääsukontrolleriga, VPN-i ja PPPoE-ga töötamiseks peate programmi installimisel installima vastava draiveri.

Programmi peaaken on jagatud mitmeks vaheleheks, mis vastutavad ühe või teise töövaldkonna eest. Esimene neist, "Praegused IP-ühendused", kuvab üksikasjalikku teavet arvuti aktiivsete IP-ühenduste kohta. Siin näete kohalikku ja kaug-IP-aadressi, edastatud ja vastuvõetud pakettide arvu, edastussuunda, loodud IP-seansside arvu, porte, hostinime (kui DNS-i tuvastamise funktsioon pole programmi sätetes keelatud), ja selle seansi jaoks paketti vastuvõtva või edastava protsessi nimi. Värskeim teave ei ole saadaval ühistranspordipakettide ega Windows 9x/ME-ga arvutites.

Praeguste IP-ühenduste vahekaart

Kui teete mis tahes ühendusel paremklõpsu, avaneb kontekstimenüü, kust leiate tööriistu, mis hõlbustavad ühenduste analüüsimist. Siin näete ühenduses edastatud andmete hulka, kasutatud portide täielikku loendit, üksikasjalikku teavet selle seansi pakette vastuvõtmise või edastamise protsessi kohta. CommView võimaldab teil luua MAC- ja IP-aadresside varjunimesid. Näiteks määrates kohtvõrgus olevate masinate tülikate digitaalsete aadresside asemel varjunimed, saate hõlpsasti loetavad ja meeldejäävad arvutinimed ning hõlbustada seeläbi ühenduse analüüsi.

IP-aadressi jaoks aliase loomiseks peate valima kontekstimenüüst "Loo pseudonüüm" ja "kasutades kohalikku IP-d" või "kasutades kaug-IP-d". Ilmuvas aknas on IP-aadressi väli juba täidetud ning jääb üle vaid sobiv nimi sisestada. Kui paketil paremklõpsuga luuakse uus IP-nime kirje, täidetakse nimeväli automaatselt hostinimega (kui see on saadaval) ja seda saab redigeerida. Sama kehtib ka MAC-aliastega töötamise kohta.

Samast menüüst saate SmartWhoisi valides saata valitud allika või sihtkoha IP-aadressi Tamosofti eraldiseisvale rakendusele SmartWhois, mis kogub teavet mis tahes IP-aadressi või hostinime kohta, nagu võrgunimi, domeen, riik, osariik või provints. , linn ja annab selle kasutajale.

Teine vahekaart, "Paketid", kuvab kõik valitud võrguliidesel kinni võetud paketid ja üksikasjalik teave nende kohta.

Paketid Tab

Aken on jagatud kolmeks osaks. Esimene neist kuvab kõigi pealtkuulatud pakettide loendi. Kui valite ühe pakettidest, klõpsates sellel hiirekursoriga, kuvavad ülejäänud aknad selle kohta teavet. See kuvab paketi numbri, protokolli, saatva ja vastuvõtva hosti Maci ja IP-aadressid, kasutatud pordid ja paketi ilmumise aja.

Keskmisel alal kuvatakse paketi sisu – kuueteistkümnendsüsteemis või tekstina. Viimasel juhul asendatakse mitteprinditavad märgid punktidega. Kui ülemises osas on valitud korraga mitu pakki, kuvatakse keskmises aknas valitud pakkide koguarv, nende kogusuurus ning ajavahemik esimese ja viimase paki vahel.

Alumine aken kuvab dekodeeritud üksikasjalikku teavet valitud paketi kohta.

Klõpsates ühte kolmest akna paremas alanurgas olevast nupust, saate valida dekodeerimisakna asukoha: allosas või joondatud vasakule või paremale. Ülejäänud kaks nuppu võimaldavad teil automaatselt minna viimati vastuvõetud paki juurde ja salvestada valitud pakk nähtavale loendi alale.

Kontekstimenüü võimaldab kopeerida lõikepuhvrisse MAC-i, IP-aadresse ja terveid pakette, määrata varjunimesid, rakendada vajalike pakettide valimiseks kiirfiltrit ning kasutada ka TCP-seansi rekonstrueerimise ja paketigeneraatori tööriistu.

TCP seansi rekonstrueerimise tööriist võimaldab teil vaadata kahe hosti vahelist vahetusprotsessi TCP kaudu. Seansi sisu arusaadavamaks muutmiseks tuleb valida sobiv “kuvaloogika”. See funktsioon on kõige kasulikum tekstiteabe (nt HTML või ASCII) taastamiseks.

Saadud andmeid saab eksportida teksti-, RTF- või binaarfailina.

Logifailide vahekaart. Siin saate konfigureerida jäädvustatud pakettide faili salvestamise sätteid. CommView salvestab logifailid natiivses NCF-vormingus; Nende vaatamiseks kasutatakse sisseehitatud utiliiti, mille saab käivitada menüüst “Fail”.

Võimalik on lubada pealtkuulatud pakettide automaatne salvestamine nende saabumisel, HTTP-seansside logimine TXT- ja HTML-vormingus, logifailide salvestamine, kustutamine, liitmine ja tükeldamine. Üks asi, mida meeles pidada, on see, et paketti ei salvestata kohe pärast saabumist, nii et kui vaatate logifaili reaalajas, ei näita see tõenäoliselt kõige värskemaid pakette. Selleks, et programm saadaks puhvri kohe faili, peate klõpsama nuppu "Lõpeta jäädvustamine".

Vahekaardil "Reeglid" saate seada tingimusi pakettide pealtkuulamiseks või ignoreerimiseks.

Vajalike pakettide valiku ja analüüsi hõlbustamiseks võite kasutada filtreerimisreegleid. See aitab ka oluliselt vähendada CommView poolt kasutatavate süsteemiressursside hulka.

Reegli lubamiseks peate valima akna vasakus servas vastava jaotise. Kokku on saadaval seitset tüüpi reegleid: lihtsad - "Protokollid ja suund", "Mac-aadressid", "IP-aadressid", "Pordid", "Tekst", "TCP lipud", "Protsess" ja ka universaalsed reegel "valem"" Iga lihtsa reegli jaoks on võimalik valida üksikud parameetrid, näiteks suuna või protokolli valimine. Universaalne valemireegel on võimas ja paindlik mehhanism filtrite loomiseks Boole'i ​​loogikat kasutades. Üksikasjaliku viite selle süntaksi kohta leiate.

Tab "Hoiatused" aitab teil seadistada teadete seadeid uuritavas võrgusegmendis toimuvate erinevate sündmuste kohta.

Vahekaart Märguanded võimaldab teil luua, redigeerida, kustutada hoiatusreegleid ja vaadata nendele reeglitele vastavaid jooksvaid sündmusi

Hoiatusreegli seadmiseks tuleb klõpsata nupul “Lisa...” ning avanevas aknas valida vajalikud tingimused, mis teavituse käivitavad, ning kasutajale sellest teavitamise viis.

CommView võimaldab teil määratleda järgmist tüüpi sündmusi, mida jälgida:

• Määratud valemile vastav "Tuvasta pakett". Valemi süntaksit kirjeldatakse üksikasjalikult kasutusjuhendis;
• "Baiti sekundis." See hoiatus käivitub, kui määratud võrgu koormustase on ületatud;
• "Paketid sekundis." Käivitub, kui määratud pakettedastussageduse tase on ületatud;
• "Edasi sekundis." Sama, ainult edastuspakettide jaoks;
• "Multisaadet sekundis" – sama ka multisaadete pakettide puhul.
• "Tundmatu MAC-aadress." Seda hoiatust saab kasutada võrku ühendavate uute või volitamata seadmete tuvastamiseks, määrates esmalt teadaolevate aadresside loendi, kasutades suvandit Setup;
• Tundmatu IP-aadressi hoiatus käivitub, kui pealtkuulatakse tundmatu saatja või saaja IP-aadressiga paketid. Kui määrate eelnevalt teadaolevate aadresside loendi, saab seda hoiatust kasutada volitamata ühenduste tuvastamiseks ettevõtte tulemüüri kaudu.

CommView-l on võimas tööriist uuritava liikluse statistika visualiseerimiseks. Statistikaakna avamiseks tuleb valida menüüst “Vaade” samanimeline üksus.

Statistikaaken režiimis "Üldine".

Selles aknas saate vaadata võrguliikluse statistikat: siin näete pakettide arvu sekundis, baite sekundis, Etherneti jaotust, IP-protokolle ja alamprotokolle. Diagramme saab kopeerida lõikepuhvrisse, mis on abiks, kui on vaja aruandeid koostada.

Kättesaadavus, hind, süsteeminõuded

Programmi praegune versioon on CommView 5.1. Tamosofti veebisaidilt saate, mis töötab 30 päeva.

Arendaja pakub klientidele kahte litsentsivõimalust:

• Kodulitsents (kodulitsents), mille väärtus on 2000 rubla, annab õiguse kasutada programmi kodus mitteärilistel alustel, samas kui teie koduvõrgus jälgimiseks saadaolevate hostide arv on piiratud viiega. See litsentsitüüp ei võimalda teil kaugagendi abil kaugtööd teha.
• Ettevõttelitsents (ettevõtte litsents, maksumus - 10 000 rubla) annab õiguse programmi äriliseks ja mitteäriliseks kasutamiseks ühel isikul, kes kasutab programmi isiklikult ühes või mitmes masinas. Programmi saab installida ka ühele tööjaamale ja seda saab kasutada mitu inimest, kuid mitte korraga.

Rakendus töötab operatsioonisüsteemides Windows 98/Me/NT/2000/XP/2003. Töötamiseks vajate Etherneti võrguadapterit, juhtmevaba Etherneti, NDIS 3.0 standardi toega Token Ringi või tavalist kaugjuurdepääsu kontrollerit.

Plussid:

• lokaliseeritud liides;
• suurepärane abisüsteem;
• erinevat tüüpi võrguadapterite tugi;
• täiustatud tööriistad pakettide analüüsimiseks ja protokollide tuvastamiseks;
• statistika visualiseerimine;
• funktsionaalne hoiatussüsteem.

Miinused:

• liiga kõrge hind;
• pealtkuulamise ja hoiatusreeglite eelseadete puudumine;
• mitte eriti mugav mehhanism paketi valimiseks vahekaardil "Paketid".

Järeldus

Tänu suurepärasele funktsionaalsusele ja kasutajasõbralikule liidesele võib CommView saada asendamatuks tööriistaks kohalike võrguadministraatorite, Interneti-teenuse pakkujate ja kodukasutajate jaoks. Mul oli hea meel arendaja hoolika lähenemise üle paketi venekeelsele lokaliseerimisele: nii liides kui ka kasutusjuhend olid tehtud väga kõrgel tasemel. Pilti hägustab mõnevõrra programmi kõrge hind, kuid kolmekümnepäevane prooviversioon aitab potentsiaalsel ostjal otsustada selle utiliidi ostmise otstarbekuse üle.

Igal meeskonna ][ liikmel on oma eelistused tarkvara ja utiliitide osas
pliiatsi test. Pärast konsulteerimist saime teada, et valik varieerub nii palju, et see on võimalik
luua tõeline härrasmeeste komplekt tõestatud programme. See on kõik
otsustanud. Et mitte segadust tekitada, jagasime kogu nimekirja teemadeks – ja sisse
Seekord käsitleme pakettide nuusutamise ja manipuleerimise utiliite. Kasutage seda peal
tervist.

Wireshark

Netcat

Kui me räägime andmete pealtkuulamisest, siis Võrgukaevur võetakse eetrist maha
(või PCAP-vormingus eelnevalt ettevalmistatud prügikastist) failid, sertifikaadid,
pilte ja muud meediumid, samuti paroole ja muud teavet autoriseerimiseks.
Kasulik funktsioon on otsida neid andmeosasid, mis sisaldavad märksõnu
(näiteks kasutaja sisselogimine).

Scapy

Veebisait:
www.secdev.org/projects/scapy

See peab olema iga häkkeri jaoks, see on võimas tööriist
interaktiivne pakettide manipuleerimine. Võtke vastu ja dekodeerige kõige rohkem pakette
erinevaid protokolle, vastata päringule, süstida muudetud ja
enda loodud pakett – kõik on lihtne! Selle abiga saate teostada terviku
mitmeid klassikalisi ülesandeid, nagu skaneerimine, tracorute, rünnakud ja tuvastamine
võrgu infrastruktuur. Ühes pudelis saame selliste populaarsete kommunaalteenuste asendaja,
nagu: hping, nmap, arpspoof, arp-sk, arping, tcpdump, tetheral, p0f jne. Selle juures
on ka aeg Scapy võimaldab teil täita mis tahes ülesandeid, isegi kõige spetsiifilisemaid
ülesanne, mida ei saa kunagi teha mõni teine ​​juba loodud arendaja
tähendab. Selle asemel, et kirjutada C-s terve mägi ridu, et näiteks
piisab vale paketi genereerimisest ja mõne deemoni segamisest
visake paar rida koodi kasutades Scapy! Programmil pole
graafiline liides ja interaktiivsus saavutatakse tõlgi kaudu
Python. Kui olete asja selgeks saanud, ei maksa vale loomine teile midagi
pakette, sisestada vajalikud 802.11 kaadrid, kombineerida erinevaid lähenemisi rünnakutes
(ütleme, ARP vahemälu mürgistus ja VLAN-i hüppamine) jne. Arendajad ise nõuavad
et tagada Scapy võimaluste kasutamine teistes projektides. Selle ühendamine
moodulina on lihtne luua utiliiti erinevat tüüpi kohaliku piirkonna uuringute jaoks,
haavatavuste otsimine, Wi-Fi süstimine, konkreetsete automaatne täitmine
ülesanded jne.

pakk

Veebisait:
Platvorm: *nix, Windowsi jaoks on port

Huvitav areng, mis võimaldab ühest küljest genereerida ükskõik millist
etherneti paketti ja teisest küljest saata pakettide jadasid eesmärgiga
ribalaiuse kontrollid. Erinevalt teistest sarnastest tööriistadest pakk
sellel on graafiline liides, mis võimaldab teil pakette luua kõige lihtsamal viisil
vormi. Edasi veel. Loomine ja saatmine on eriti läbimõeldud
pakettide jadad. Saate määrata saatmise vahel viivitusi,
saata pakette läbilaskevõime testimiseks maksimaalse kiirusega
võrguosa (jah, see on koht, kuhu nad esitavad) ja mis veelgi huvitavam -
dünaamiliselt muuta pakettide parameetreid (näiteks IP- või MAC-aadress).

Hiljuti ühes vestluses seda küsimust arutades: alatesWiresharktõmmake fail välja, avanes utiliit NetworkMiner. Pärast kolleegidega rääkimist ja Internetis guugeldamist jõudsin järeldusele, et paljud inimesed ei tea sellest utiliidist. Kuna utiliit lihtsustab oluliselt teadlase/pentesteri elu, parandan selle puuduse ja räägin kogukonnale, mis on NetworkMiner.

NetworkMiner– utiliit kohaliku võrgu hostide vahelise võrguliikluse pealtkuulamiseks ja analüüsimiseks, mis on kirjutatud Windows OS-i jaoks (aga töötab ka Linuxis, Mac OS X-is, FreeBSD-s).

NetworkMinerit saab kasutada passiivse võrgupakettide nuusutajana, mille analüüs tuvastab nii operatsioonisüsteemide, seansside, hostide kui ka avatud portide sõrmejäljed. NetworkMiner võimaldab teil analüüsida ka PCAP-faile võrguühenduseta ning taastada edastatud faile ja turvasertifikaate.

Utiliidi ametlik leht: http://www.netresec.com/?page=Networkminer

Ja nii, alustame kaalumist.

Utiliit on saadaval kahes väljaandes: tasuta ja professionaalne (maksab 700 USD).

Tasuta väljaandes on saadaval järgmised valikud:

• liikluse pealtkuulamine;
• PCAP-failide sõelumine;
• PCAP-faili vastuvõtmine IP kaudu;
• OS määratlus.

Professionaalne väljaanne lisab järgmised valikud:

• PcapNG-faili sõelumine,
• pordiprotokolli määratlus,
• Andmete eksportimine CSV-sse/Excelisse,
• DNS-nimede kontrollimine saidil http://www.alexa.com/topsites,
• lokaliseerimine IP järgi,
• Käsurea tugi.

Selles artiklis vaatleme Wiresharkilt saadud PCAP-faili sõelumise võimalust.

Kuid kõigepealt installime NetworkMineri Kali Linuxi.

1. Vaikimisi on Mono paketid juba KaliLinuxi installitud, kuid kui neid pole installitud, tehke järgmist.

sudo apt-get install libmono-wforms2.0-cil

1. Järgmisena laadige alla ja installige NetworkMiner

wget sf.net/projects/networkminer/files/latest -O /tmp/nm.zip
sudo unzip /tmp/nm.zip -d /opt/
cd /opt/NetworkMiner*
sudo chmod +x NetworkMiner.exe
sudo chmod -R go+w AsscodebledFiles/
sudo chmod -R go+w jäädvustab/

1. NetworkMineri käivitamiseks kasutage järgmist käsku:

mono NetworkMiner.exe

Teabe saamiseks. Viis minutit liikluse pealtkuulamist meie testvõrgus kogus üle 30 000 erineva paketi.

Nagu aru saate, on sellise liikluse analüüsimine üsna töömahukas ja aeganõudev. Wiresharkil on sisseehitatud filtrid ja see on üsna paindlik, kuid mida teha, kui teil on vaja kiiresti liiklust analüüsida ilma Wiresharki kogu valikut uurimata?

Proovime näha, millist teavet NetworkMiner meile annab.

1. Avage saadud PCAP NetworkMineris. Enam kui 30 000 paketist koosneva liiklusmahu analüüsimiseks kulus vähem kui minut.

1. Vahekaardil Hostid on loend kõigist liikluse genereerimisega seotud hostidest koos üksikasjaliku teabega iga hosti kohta:

1. Vahekaardil Raamid kuvatakse liiklus pakettide kujul, mis sisaldavad teavet OSI mudeli iga kihi (kanal, võrk ja transport) kohta.

1. Järgmisel vahekaardil Mandaadid kuvatakse pealtkuulatud autoriseerimiskatsed selge tekstina. Nii saate kohe vähem kui minutiga suurest liiklusmähist sisselogimiseks sisselogimise ja parooli. Ma tegin seda oma ruuteri näitel.

1. Ja veel üks vahekaart, mis muudab liiklusest andmete hankimise lihtsamaks, on failid.

Meie näites leidsin pdf-faili, mille saate kohe avada ja vaadata.

Kuid kõige rohkem üllatas mind see, kui leidsin liiklusmässist txt-faili, mis osutus minu DIR-620 ruuterist. Seega edastab see ruuter, kui sellel on volitus, tekstina kõik oma sätted ja paroolid, sealhulgas WPA2 jaoks.

Selle tulemusena osutus utiliit üsna huvitavaks ja kasulikuks.

Annan teile, kallis lugeja, selle artikli lugemiseks ja läksin uut ruuterit ostma.

Paljud võrguadministraatorid puutuvad sageli kokku probleemidega, mida saab lahendada võrguliikluse analüüsimisega. Ja siin puutume kokku sellise kontseptsiooniga nagu liiklusanalüsaator. Mis see siis on?

Mõiste " NetFlow" viitab Cisco protokollile, mis on loodud IP-liikluse teabe kogumiseks ja võrguliikluse jälgimiseks. NetFlow on vastu võetud voogedastustehnoloogiate standardprotokollina.

NetFlow tarkvara kogub ja analüüsib ruuterite genereeritud vooandmeid ning esitab need kasutajasõbralikus vormingus.

Mitmetel teistel võrguseadmete tarnijatel on jälgimiseks ja andmete kogumiseks oma protokollid. Näiteks Juniper, teine ​​kõrgelt hinnatud võrguseadmete müüja, nimetab oma protokolli " J-Flow". HP ja Fortinet kasutavad terminit " s-Flow". Kuigi protokolle nimetatakse erinevalt, töötavad need kõik sarnaselt. Selles artiklis vaatleme 10 tasuta võrguliikluse analüsaatorit ja NetFlow kogujat Windowsi jaoks.

SolarWindsi reaalajas NetFlow liiklusanalüsaator

See tasuta tööriist on piiratud ühe NetFlow jälgimisliidesega ja salvestab ainult 60 minutit andmeid. See Netflow analüsaator on võimas tööriist, mida tasub kasutada.

Colasoft Capsa tasuta

Muud funktsioonid hõlmavad võrgu turvalisuse analüüsi. Näiteks DoS/DDoS rünnakute, usside tegevuse ja ARP rünnaku tuvastamise jälgimine. Lisaks pakettide dekodeerimisele ja teabe kuvamisele, statistilistele andmetele iga võrgu hosti kohta, paketivahetuse juhtimisele ja voo rekonstrueerimisele. Capsa Free toetab kõiki Windows XP 32- ja 64-bitisi versioone.

Minimaalsed süsteeminõuded installimiseks: 2 GB muutmälu ja 2,8 GHz protsessor. Teil peab olema ka Etherneti ühendus Internetiga ( NDIS 3 või uuem), Kiire Ethernet või Gigabit segarežiimi draiveriga. See võimaldab teil passiivselt jäädvustada kõik Etherneti kaabli kaudu edastatavad paketid.

Vihane IP-skanner

ManageEngine NetFlow Analyzer Professional

Linuxi liiklusanalüsaatori tasuta versioon võimaldab toodet piiramatult kasutada 30 päeva, pärast mida saab jälgida vaid kahte liidest. NetFlow Analyzer ManageEngine'i süsteeminõuded sõltuvad voolukiirusest. Soovitatavad nõuded minimaalse voolukiiruse jaoks 0–3000 lõime sekundis on 2,4 GHz kahetuumaline protsessor, 2 GB muutmälu ja 250 GB vaba kõvakettaruumi. Seiratava voolu kiiruse kasvades suurenevad ka nõuded.

Kutt

JDSU võrguanalüsaatori kiire Ethernet

Rakendus toetab väga üksikasjalike graafikute ja tabelite loomist, mis võimaldavad administraatoritel jälgida liiklusanomaaliaid, filtreerida andmeid suurte andmemahtude läbisõelumiseks ja palju muud. See algtaseme professionaalidele ja ka kogenud administraatoritele mõeldud tööriist võimaldab teil oma võrku täielikult kontrollida.

Plixeri kontrollija

Wireshark

Süsteeminõuded: Windows XP ja uuem, iga kaasaegne 64/32-bitine protsessor, 400 Mb RAM ja 300 Mb vaba kettaruumi. Wireshark NetFlow Analyzer on võimas tööriist, mis võib iga võrguadministraatori tööd oluliselt lihtsustada.

Paessler PRTG

Tasuta versioon võimaldab 30 päeva jooksul kasutada piiramatul hulgal andureid, pärast mida saab tasuta kasutada vaid kuni 100.

nProbe

nProbe toetab IPv4 ja IPv6, Cisco NetFlow v9 / IPFIX, NetFlow-Lite, sisaldab funktsioone VoIP liikluse analüüsiks, voo ja pakettide proovivõtuks, logi genereerimiseks, MySQL/Oracle ja DNS tegevuseks ning paljuks muuks. Rakendus on tasuta, kui laadite alla ja kompileerite liiklusanalüsaatori Linuxis või Windowsis. Installi käivitatav fail piirab püüdmise suuruse 2000 paketiga. nProbe on haridusasutustele, aga ka mittetulundus- ja teadusorganisatsioonidele täiesti tasuta. See tööriist töötab Linuxi ja Windowsi operatsioonisüsteemide 64-bitistes versioonides.

See 10 tasuta NetFlow liikluse analüsaatori ja koguja loend aitab teil alustada väikese kontorivõrgu või suure, mitme saidiga ettevõtte WAN-i jälgimist ja tõrkeotsingut.

Iga selles artiklis esitatud rakendus võimaldab jälgida ja analüüsida võrguliiklust, tuvastada väiksemaid tõrkeid ja tuvastada ribalaiuse kõrvalekaldeid, mis võivad viidata turvaohtudele. Samuti visualiseerige teavet võrgu, liikluse ja palju muu kohta. Võrguadministraatoritel peavad sellised tööriistad olema oma arsenalis.

See väljaanne on tõlge artiklist " 10 parimat tasuta Netflow analüsaatorit ja kogujat Windowsi jaoks", mille valmistas ette sõbralik projektimeeskond

Originaal: 8 parimat pakettide nuusutajat ja võrguanalüsaatorit
Autor: Jon Watson
Avaldamise kuupäev: 22. november 2017
Tõlge: A. Krivoshey
Üleandmise kuupäev: detsember 2017

Pakettide nuusutamine on kõnekeelne termin, mis viitab võrguliikluse analüüsimise kunstile. Vastupidiselt levinud arvamusele ei liigu sellised asjad nagu meilid ja veebilehed üle Interneti ühes tükis. Need jagatakse tuhandeteks väikesteks andmepakettideks ja saadetakse seega üle Interneti. Selles artiklis vaatleme parimaid tasuta võrguanalüsaatoreid ja pakettide nuusutajaid.

Võrguliiklust koguvad paljud utiliidid ja enamik neist kasutab tuumana pcapi (Unixi sarnastes süsteemides) või libcapi (Windowsis). Teist tüüpi utiliit aitab neid andmeid analüüsida, kuna isegi väike liiklus võib genereerida tuhandeid pakette, mida on raske navigeerida. Peaaegu kõik need utiliidid erinevad üksteisest andmete kogumisel vähe, peamised erinevused seisnevad selles, kuidas nad andmeid analüüsivad.

Võrguliikluse analüüsimine eeldab võrgu toimimise mõistmist. Puudub tööriist, mis asendaks võluväel analüütiku teadmisi võrgu põhialuste kohta, näiteks TCP "3-way handshake", mida kasutatakse kahe seadme vahelise ühenduse loomiseks. Analüütikutel peab olema ka mõningane arusaam võrguliikluse tüüpidest normaalselt toimivas võrgus, nagu ARP ja DHCP. Need teadmised on olulised, sest analüüsitööriistad näitavad teile lihtsalt, mida te neilt palute. Teie otsustada, mida küsida. Kui te ei tea, milline teie võrk tavaliselt välja näeb, võib olla raske teada, et olete kogutud pakettide hulgast vajaliku leidnud.

Parimad pakettide nuusutajad ja võrguanalüsaatorid

Tööstuslikud tööriistad

Alustame ülaosast ja liigume siis põhitõdede juurde. Kui teil on tegemist ettevõtte tasemel võrguga, on teil vaja suurt relva. Kuigi peaaegu kõik kasutab oma tuumaks tcpdumpi (sellest lähemalt hiljem), saavad ettevõttetaseme tööriistad lahendada teatud keerulisi probleeme, nagu näiteks liikluse korreleerimine mitmest serverist, intelligentsete päringute pakkumine probleemide tuvastamiseks, erandite eest hoiatamine ja heade graafikute loomine. seda ülemused alati nõuavad.

Ettevõttetaseme tööriistad on tavaliselt suunatud pigem võrguliikluse voogesitamisele kui pakettide sisu hindamisele. Selle all pean silmas seda, et enamiku ettevõtte süsteemiadministraatorite põhifookus on tagada, et võrgul ei oleks jõudluse kitsaskohti. Selliste kitsaskohtade ilmnemisel on tavaliselt eesmärk kindlaks teha, kas probleemi põhjustab võrk või võrgus olev rakendus. Teisest küljest saavad need tööriistad tavaliselt hakkama nii suure liiklusega, et aitavad ennustada, millal võrgusegment täielikult laaditakse, mis on võrgu ribalaiuse haldamise kriitiline punkt.

See on väga suur IT-haldustööriistade komplekt. Selles artiklis on sobivam utiliit Deep Packet Inspection and Analysis, mis on selle komponent. Võrguliikluse kogumine on üsna lihtne. Selliste tööriistadega nagu WireShark pole ka põhianalüüs probleemiks. Kuid olukord pole alati täiesti selge. Väga hõivatud võrgus võib olla raske määrata isegi väga lihtsaid asju, näiteks:

Milline võrgurakendus seda liiklust genereerib?
- kui rakendus on teada (näiteks veebibrauser), siis kus veedavad selle kasutajad suurema osa ajast?
- millised ühendused on kõige pikemad ja koormavad võrku üle?

Enamik võrguseadmeid kasutab iga paketi metaandmeid tagamaks, et pakett läheb sinna, kuhu ta peab minema. Võrguseadmele pole paketi sisu teada. Teine asi on sügav pakettide kontroll; see tähendab, et kontrollitakse pakendi tegelikku sisu. Nii saate avastada kriitilist võrguteavet, mida ei saa metaandmetest koguda. Sellised tööriistad nagu need, mida pakub SolarWinds, võivad pakkuda tähendusrikkamaid andmeid kui lihtsalt liiklusvoog.

Muud andmemahukate võrkude haldamise tehnoloogiad hõlmavad NetFlow ja sFlow. Igal neist on oma tugevad ja nõrgad küljed,

Lisateavet NetFlow ja sFlow kohta saate.

Võrgustikuanalüüs üldiselt on edasijõudnud teema, mis põhineb nii omandatud teadmistel kui ka praktilisel töökogemusel. Saate õpetada inimest omama üksikasjalikke teadmisi võrgupakettide kohta, kuid kui sellel inimesel pole võrgust endast teadmisi ja anomaaliate tuvastamise kogemust, ei lähe ta sellega kuigi hästi. Selles artiklis kirjeldatud tööriistu peaksid kasutama kogenud võrguadministraatorid, kes teavad, mida nad tahavad, kuid pole kindlad, milline utiliit on parim. Neid saavad kasutada ka vähem kogenud süsteemiadministraatorid, et saada igapäevaseid võrgukogemusi.

Põhitõed

Peamine tööriist võrguliikluse kogumiseks on

See on avatud lähtekoodiga rakendus, mis installitakse peaaegu kõikidesse Unixi-laadsetesse operatsioonisüsteemidesse. Tcpdump on suurepärane andmekogumise utiliit, millel on väga keerukas filtreerimiskeel. Oluline on teada, kuidas andmeid kogudes filtreerida, et saada analüüsimiseks tavaline andmekogum. Kõigi andmete hõivamine võrguseadmest, isegi mõõdukalt hõivatud võrgus, võib genereerida liiga palju andmeid, mida on väga raske analüüsida.

Mõnel harvadel juhtudel piisab vajaliku leidmiseks tcpdump salvestatud andmete otse ekraanile printimisest. Näiteks kogusin seda artiklit kirjutades liiklust ja märkasin, et mu masin saadab liiklust IP-aadressile, mida ma ei teadnud. Selgus, et minu masin saatis andmeid Google'i IP-aadressile 172.217.11.142. Kuna mul ei olnud ühtegi Google'i toodet ja Gmail ei olnud avatud, ei teadnud ma, miks see juhtus. Kontrollisin oma süsteemi ja leidsin järgmise:

[ ~ ]$ ps -ef | grep google kasutaja 1985 1881 0 10:16 ? 00:00:00 /opt/google/chrome/chrome --type=service

Selgub, et isegi kui Chrome ei tööta, töötab see teenusena. Ilma pakettide analüüsita poleks ma seda märganud. Jäädvustasin veel paar andmepaketti, kuid seekord andsin tcpdumpile ülesande kirjutada andmed faili, mille seejärel Wiresharkis avasin (sellest lähemalt hiljem). Need on sissekanded:

Tcpdump on süsteemiadministraatorite lemmiktööriist, kuna see on käsurea utiliit. tcpdump käivitamine ei nõua GUI-d. Tootmisserverite jaoks on graafiline liides pigem kahjulik, kuna kulutab süsteemiressursse, mistõttu eelistatakse käsureaprogramme. Nagu paljudel kaasaegsetel utiliitidel, on ka tcpdump väga rikkalik ja keeruline keel, mille omandamine võtab aega. Mõned väga lihtsad käsud hõlmavad võrguliidese valimist andmete kogumiseks ja nende andmete faili kirjutamist, et neid saaks mujale analüüsimiseks eksportida. Selleks kasutatakse lüliteid -i ja -w.

# tcpdump -i eth0 -w tcpdump_packets tcpdump: kuulamine võrgus eth0, lingitüüpi EN10MB (Ethernet), hõive suurus 262144 baiti ^C51 pakette püütud

See käsk loob salvestatud andmetega faili:

Fail tcpdump_packets tcpdump_packets: tcpdump püüdmisfail (little-endian) – versioon 2.4 (Ethernet, hõive pikkus 262144)

Selliste failide standard on pcap-vorming. See ei ole tekst, seega saab seda analüüsida ainult programmide abil, mis seda vormingut mõistavad.

3. Windump

Enamik kasulikke avatud lähtekoodiga utiliite kloonitakse lõpuks teistesse operatsioonisüsteemidesse. Kui see juhtub, öeldakse, et rakendus on üle viidud. Windump on tcpdumpi port ja käitub väga sarnaselt.

Kõige olulisem erinevus Windumpi ja tcpdumpi vahel on see, et Windump vajab enne Windumpi käitamist installitud Winpcapi teek. Kuigi Windumpi ja Winpcapi pakub sama hooldaja, tuleb need eraldi alla laadida.

Winpcap on teek, mis peab olema eelinstallitud. Kuid Windump on exe-fail, mida pole vaja installida, nii et saate selle lihtsalt käivitada. Seda tuleb meeles pidada, kui kasutate Windowsi võrku. Te ei pea installima Windumpi igasse masinasse, kuna saate seda lihtsalt kopeerida vastavalt vajadusele, kuid Winpcapi vajate Windupi toetamiseks.

Nagu tcpdumpi puhul, saab ka Windump kuvada analüüsimiseks võrguandmeid, samamoodi filtreerida ja kirjutada andmed pcap-faili hilisemaks analüüsiks.

4. Wireshark

Wireshark on järgmine kõige kuulsam tööriist süsteemiadministraatori tööriistakastis. See mitte ainult ei võimalda teil andmeid jäädvustada, vaid pakub ka mõningaid täiustatud analüüsitööriistu. Lisaks on Wireshark avatud lähtekoodiga ja see on porditud peaaegu kõikidesse olemasolevatesse serveri operatsioonisüsteemidesse. Wiresharki nimega Etheral töötab nüüd kõikjal, sealhulgas eraldiseisva kaasaskantava rakendusena.

Kui analüüsite GUI-ga serveri liiklust, saab Wireshark teie eest kõik ära teha. See võib andmeid koguda ja seejärel kõike seal analüüsida. GUI-sid on serverites siiski harva, nii et saate võrguandmeid eemalt koguda ja seejärel oma arvutis Wiresharkis saadud pcap-faili uurida.

Wiresharki esmakordsel käivitamisel saate laadida olemasoleva pcap-faili või käivitada liikluse hõivamise. Viimasel juhul saate kogutavate andmete hulga vähendamiseks täiendavalt seadistada filtreid. Kui te filtrit ei määra, kogub Wireshark lihtsalt valitud liidesest kõik võrguandmed.

Wiresharki üks kasulikumaid funktsioone on voo jälgimise võimalus. Kõige parem on mõelda niidist kui ketist. Alloleval ekraanipildil näeme palju jäädvustatud andmeid, kuid mind huvitas kõige rohkem Google'i IP-aadress. Ma saan kogu ahela nägemiseks paremklõpsata ja jälgida TCP-voogu.

Kui liiklus salvestati teises arvutis, saate PCAP-faili importida, kasutades dialoogi Wiresharki fail -> Ava. Imporditud failide jaoks on saadaval samad filtrid ja tööriistad, mis salvestatud võrguandmete jaoks.

5.thai

Tshark on väga kasulik link tcpdumpi ja Wiresharki vahel. Tcpdump on andmete kogumisel parem ja suudab kirurgiliselt eraldada ainult vajalikke andmeid, kuid selle andmeanalüüsi võimalused on väga piiratud. Wireshark on suurepärane nii hõivamiseks kui analüüsiks, kuid sellel on raske kasutajaliides ja seda ei saa kasutada ilma GUI-ta serverites. Proovige tsharki, see töötab käsureal.

Tshark kasutab samu filtreerimisreegleid kui Wireshark, mis ei tohiks olla üllatav, kuna need on sisuliselt samad tooted. Allolev käsk käsib tsharkil ainult sihtkoha IP-aadressi ja ka mõned muud huvipakkuvad väljad jäädvustada paketi HTTP-osast.

# tshark -i eth0 -Y http.request -T väljad -e ip.dst -e http.user_agent -e http.request.uri 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/2010010 /57.0 /images/title.png 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /images/styles/phoenix.css; Linux 6 x 172.20.0 rv:57.0) Gecko/20100101 Firefox/57.0 /images/code/jquery_lightbox/jquery_lightbox/js/jquery-1.2.6.pack.js 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64.0;0) Geck770 Firefox1/0 rv /57.0 /images/styles/index.css 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /images/images/title.png (Mozilla.0.1220.1/5 Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /favicon.ico 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.i

Kui soovite liiklust faili kirjutada, kasutage selleks suvandit -W ja seejärel lugemiseks lülitit -r (lugemine).

Esimene jäädvustamine:

# tshark -i eth0 -w tshark_packets Jäädvustamine rakendusega "eth0" 102 ^C

Lugege seda siit või viige see analüüsimiseks teise kohta.

# tshark -r tshark_packets -Y http.request -T väljad -e ip.dst -e http.user_agent -e http.request.uri 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) 1 Firefox01 Gecko/0 /57.0/Kontakt 172.20.0.122 Mozilla/5,0 (X11; Linux X86_64; RV: 57,0) Gecko/20100101 Firefox/57.0/reservatsioonid/172.20.0,122 Mozilla/5,0 (X11; Linux X86_64 ;0101) 00101) bookings/styles/styles.css 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /res/code/jquery_lightbox/jquery_lightbox/js/jquery-1.2 .0.122 Mozilla/5.0 (X11; Linux x86_64; rv:57.0) Gecko/20100101 Firefox/57.0 /res/styles/index.css 172.20.0.122 Mozilla/5.0 (X11; Linux x86_64. r res/images/title.png

See on väga huvitav tööriist, mis kuulub pigem võrgu kohtuekspertiisi analüüsivahendite kategooriasse kui lihtsalt nuusutajate kategooriasse. Kohtuekspertiisi valdkond tegeleb tavaliselt uurimiste ja tõendite kogumisega ning Network Miner teeb seda tööd suurepäraselt. Nii nagu wireshark saab jälgida TCP-voogu, et rekonstrueerida kogu pakettülekandeahelat, saab Network Miner jälgida voogu, et taastada võrgu kaudu edastatud faile.

Network Mineri saab strateegiliselt võrku paigutada, et saaksite reaalajas jälgida ja koguda teid huvitavat liiklust. See ei genereeri võrgus oma liiklust, seega töötab see vargsi.

Network Miner võib töötada ka võrguühenduseta. Saate kasutada tcpdumpi, et koguda pakette võrgu huvipakkuvatest punktidest ja seejärel importida PCAP-failid rakendusse Network Miner. Järgmisena võite proovida taastada salvestatud failis leitud failid või sertifikaadid.

Network Miner on loodud Windowsi jaoks, kuid Mono abil saab seda käitada mis tahes operatsioonisüsteemis, mis toetab Mono platvormi, nagu Linux ja MacOS.

Seal on tasuta versioon, algtaseme, kuid korraliku funktsioonide komplektiga. Kui vajate lisafunktsioone, nagu geolokatsioon ja kohandatud skriptid, peate ostma professionaalse litsentsi.

7. Viiuldaja (HTTP)

See ei ole tehniliselt võrgupakettide püüdmise utiliit, kuid see on nii uskumatult kasulik, et lisab selle sellesse loendisse. Erinevalt teistest siin loetletud tööriistadest, mis on loodud võrguliikluse hõivamiseks mis tahes allikast, on Fiddler pigem silumistööriist. See hõivab HTTP-liikluse. Kuigi paljude brauserite arendajatööriistades on see võimalus juba olemas, ei piirdu Fiddler ainult brauseri liiklusega. Fiddler suudab hõivata mis tahes HTTP-liiklust arvutis, sealhulgas mitte-veebirakendusi.

Paljud töölauarakendused kasutavad veebiteenustega ühenduse loomiseks HTTP-d ja peale Fiddleri on ainus viis sellise liikluse analüüsimiseks hõivamiseks kasutada selliseid tööriistu nagu tcpdump või Wireshark. Kuid need töötavad paketi tasemel, nii et analüüs nõuab nende pakettide rekonstrueerimist HTTP-voogudeks. Lihtsa uurimistöö tegemine võib olla palju tööd ja see on koht, kus Fiddler tuleb appi. Fiddler aitab teil tuvastada rakenduste saadetud küpsiseid, sertifikaate ja muid kasulikke andmeid.

Fiddler on tasuta ja nagu Network Miner, saab seda kasutada ka monorežiimis peaaegu igas operatsioonisüsteemis.

8. Capsa

Capsa võrguanalüsaatoril on mitu väljaannet, millest igaühel on erinevad võimalused. Esimesel tasemel on Capsa tasuta ja see võimaldab sisuliselt lihtsalt jäädvustada pakette ja teha neile põhilist graafilist analüüsi. Armatuurlaud on ainulaadne ja võib aidata kogenematul süsteemiadministraatoril võrguprobleeme kiiresti tuvastada. Tasuta tase on mõeldud inimestele, kes soovivad pakettide kohta rohkem teada saada ja oma analüüsioskusi arendada.

Tasuta versioon võimaldab jälgida üle 300 protokolli, sobib nii e-kirjade jälgimiseks kui ka meili sisu salvestamiseks ning toetab ka trigereid, mille abil saab teatud olukordade ilmnemisel märguandeid käivitada. Sellega seoses saab Capsat mingil määral kasutada tugivahendina.

Capsa on saadaval ainult Windows 2008/Vista/7/8 ja 10 jaoks.

Järeldus

On lihtne mõista, kuidas süsteemiadministraator saab meie kirjeldatud tööriistade abil luua võrgu jälgimise infrastruktuuri. Tcpdump või Windump saab installida kõikidesse serveritesse. Planeerija, nagu cron või Windowsi planeerija, käivitab pakettide kogumise seansi õigel ajal ja kirjutab kogutud andmed pcap-faili. Süsteemiadministraator saab seejärel need paketid keskseadmesse edastada ja Wiresharki abil analüüsida. Kui võrk on selleks liiga suur, on saadaval ettevõtte tasemel tööriistad, nagu SolarWinds, et muuta kõik võrgupaketid hallatavaks andmekogumiks.

Lugege teisi artikleid võrguliikluse pealtkuulamise ja analüüsimise kohta :

• Dan Nanni, Linuxi võrguliikluse jälgimise käsurea utiliidid
• Paul Cobbaut, Linuxi süsteemiadministraator. Võrguliikluse pealtkuulamine
• Paul Ferrill, 5 tööriista võrgu jälgimiseks Linuxis
• Pankaj Tanwar, paketihõive libpcapi raamatukogu abil
• Riccardo Capecchi, Filtrite kasutamine Wiresharkis
• Nathan Willis, võrguanalüüs Wiresharkiga
• Prashant Phatak,